hiii 
Melhack&Worm 
siapakah melhacker ? 
dan siapakah worm ? 
Selamat... ??? 
hoiiii 
MELHA 
Mel 
NewGift 
hari raya..!!!!! 
BOoOoOmm ! 
Amaran: VIRUS BARU ! 
Melhack ! 
Mel 
Re:

Contiene siempre los siguientes datos adjuntos:

Melh32.exe
Melhw32.chm

El cuerpo del mensaje, con formato HTML, aunque no contiene un texto visible, causa que los adjuntos sean copiados automáticamente en la carpeta \Windows\Temp:

C:\Windows\Temp\Melh32.exe
C:\Windows\Temp\Melhw32.chm

Luego ejecuta automáticamente el archivo Melhw32.chm, el cuál lanza al archivo Melh32.exe, que contiene el componente de envío masivo.

Para esconder su actividad, Melh32.exe intenta terminar con el proceso HH.exe, el ejecutable de Windows usado para abrir los componentes .CHM (Microsoft HTML Help Executable).

El gusano examina la libreta de direcciones del Outlook, e intenta enviarse a los primeros 50 contactos. Para el envío, utiliza numerosos servidores SMTP, con las siguientes direcciones IP:

195.118.118.7 
212.245.198.165 
196.205.95.186 
196.117.105.15 
196.118.4.112 
196.117.222.66 
213.245.68.21 
195.182.139.142 
196.206.122.184 
196.118.89.8 
213.161.96.2 
213.245.242.82 
196.206.209.34 
213.107.134.134 
196.117.73.6 
214.26.176.4 
196.118.00.99 
214.26.112.3

El gusano posee su propia rutina de envío de correo, que se conecta a uno de los servidores mencionados antes, e intenta enviar su mensaje con los adjuntos (en formato MIME-encoded), a las direcciones encontradas previamente.

También modifica el registro para hacer que cualquier archivo con alguna de las siguientes extensiones que sea abierto, ejecute el archivo Sysmel32.exe en la carpeta de Windows, creado también por el gusano:

.jpg
.jpeg
.jpe
.bmp
.gif
.avi
.mpg
.mpeg
.wmf
.wma
.wmv
.mp3
.mp2
.exe
.doc
.xls
.zip
.rar
.lha
.arj
.reg

Cuando un archivo con alguna de dichas extensiones es abierto o ejecutado, el gusano mueve dicho archivo a la carpeta C:\Sysmel32, usando un nombre al azar, y reemplaza el archivo original por el propio código del gusano, agregando la extensión .EXE.

Por ejemplo, un archivo NOMBRE.JPG sería copiado en C:\Sysmel32 con otro nombre seleccionado al azar, el verdadero NOMBRE.JPG sería reemplazado por el código del gusano, y luego sería renombrado como NOMBRE.JPG.EXE.

El archivo original (NOMBRE.JPG), nunca se ejecutará, lo que puede hacer que el usuario intente ejecutarlo nuevamente, lanzando al gusano en su lugar (la segunda extensión permanece oculta en una configuración por defecto de Windows).


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente:

sysmel32, sysmel32.exe, melh*.*

4. Haga clic en 'Buscar ahora' y borre todos los archivos y carpetas (sysmel32) encontradas.

5. Pinche en 'Nueva' o 'Nueva búsqueda'

6. En 'Nombre:' o 'Buscar por...' escriba lo siguiente:

Hi

7. Haga clic en 'Buscar ahora'

8. Si aparece una CARPETA con ese nombre, bórrela.

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

En Windows XP

1. Seleccione 'Inicio', 'Buscar'

2. Seleccione 'Todos los archivos y carpetas'

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

sysmel32, sysmel32.exe, melh*.*

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos y carpetas (sysmel32) encontradas.

9. En la barra de herramientas, pinche en 'Buscar'.

10. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

Hi

11. En 'Nombre' escriba:

Hi

12. Haga clic en 'Buscar ahora'.

13. Si encuentra una carpeta con ese nombre, bórrela.

14. Cierre la ventana de búsqueda

15. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Copiar REGEDIT.EXE como REGEDIT.COM

Debido a que el gusano modifica el registro para que no se puedan ejecutar los archivos .EXE, se debe hacer una copia del editor del registro con la extensión .COM antes de ejecutarlo.

1. Pinche en 'Inicio', 'Ejecutar', escriba lo siguiente y pulse Enter:

command

Se abrirá una pantalla de MS-DOS

2. Escriba los siguientes comandos y pulse Enter al final de cada línea:

cd ..

copy regedit.exe regedit.com

start regedit.com

Editar el registro

1. Pinche en el signo '+' hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT\ .exe

2. En el panel de la derecha haga doble clic sobre la entrada '(Predeterminado)', borre el contenido anterior allí existente, y escriba en su lugar lo siguiente:

exefile

3. Pinche en 'Aceptar'

4. Pinche en el signo '+' hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT\ mhwfile

5. Marque la carpeta 'mhwfile' y bórrela (pulse SUPR).

6. Seleccione en el menú 'Edit' la opción 'Buscar'.

7. Escriba lo siguiente y pulse Enter:

mhwfile

8. En cada coincidencia (use F3 para continuar cada búsqueda), cambie el valor 'mhwfile' en '(Predeterminado)', por los que aparecen en la lista siguiente (sin las comillas). En aquellas extensiones que no se dan valores, borre 'mhwfile' y deje la entrada vacía:

.arj (el nombre sin extensión del programa que use, por ejemplo: "Winzip")

.avi "AVIFile"

.bmp "Paint.Picture"

.doc (el nombre de la versión de Word, por ejemplo: "Wordpad.Document.1", "Word.Document.6", "Word.Document.7", "Word.Document.8", etc.)

.gif "giffile"

.jpeg "jpegfile"

.jpe

.jpg "jpegfile"

.lha 

.mp2 "mpegfile"

.mp3 "mp3file"

.mpeg "mpegfile"

.mpg "mpegfile"

.rar 

.reg "regfile"

.vqf 

.wma

.wmf

.wmv

.xls (el nombre de la versión de Excel, por ejemplo: "Excel.Sheet.6", "Excel.Sheet.7", "Excel.Sheet.8")

.zip (el nombre sin extensión del programa que use, por ejemplo: "Winzip")

Nota: Este procedimiento es engorroso, y puede ocasionar que algunos programas no funcionen correctamente si se cometen errores. Las otras opciones son recurrir a un técnico calificado o reinstalar Windows y los programas correspondientes.

9. Seleccione 'Registro', 'Salir' para abandonar el registro.

10. Si aparece la ventana 'MS-DOS', en la línea de comandos escriba 'exit' y pulse Enter.

11. Reinicie la computadora, actualice sus antivirus, y proceda a hacer un examen de todos sus archivos y carpetas.

12. Se aconseja actualizar el Internet Explorer según se explica en el siguiente artículo, para impedir la ejecución automática del gusano:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm



Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com